Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

▷ A vulnerabilidade do Microsoft RDP facilita muito para os invasores se tornarem homens no meio
Blogs4

A vulnerabilidade do Microsoft RDP facilita muito para os invasores se tornarem homens no meio

Nota: O seguinte artigo irá ajudá-lo com: A vulnerabilidade do Microsoft RDP facilita muito para os invasores se tornarem homens no meio

A vulnerabilidade do Microsoft RDP é um problema sério, mas com algumas ressalvas: ela foi corrigida e os especialistas dizem que pode ser menos provável de acontecer do que parece à primeira vista.

Uma vulnerabilidade descoberta recentemente no protocolo de área de trabalho remota (RDP) da Microsoft remonta ao Windows Server 2012 R2 e permite que qualquer pessoa que possa se conectar a uma sessão RDP obtenha controle quase total sobre outros usuários RDP, lançando um ataque man-in-the-middle.

Descoberta por pesquisadores de segurança da CyberArk, a vulnerabilidade já foi divulgada à Microsoft, que por sua vez lançou uma atualização de segurança para corrigi-la. Que esse seja seu primeiro aviso: se sua organização usa RDP, certifique-se de atualizar os sistemas afetados o mais rápido possível.

A vulnerabilidade ocorre devido a vários fatores e “permite que qualquer usuário padrão sem privilégios conectado a uma máquina remota via área de trabalho remota obtenha o ao sistema de arquivos das máquinas clientes de outros usuários conectados, visualize e modifique dados da área de transferência de outros usuários conectados e personificar a identidade de outros usuários conectados à máquina usando cartões inteligentes”, disse o autor do relatório, Gabriel Sztejnworcel.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Para explicar brevemente, o RDP usa conexões lógicas chamadas “pipes” para dividir uma única conexão em vários canais virtuais. Por exemplo, quando um usuário se conecta ao RDP, diferentes pipes são criados para lidar com saída visual, mapeamento de unidade, área de transferência, entrada do usuário e outros tipos de dados.

Cada um dos pipes que um servidor RDP cria é nomeado e, dependendo das configurações de segurança de um pipe, duplicatas com o mesmo nome podem ser criadas para lidar com várias conexões simultâneas. Todos os nomes começam com TSVIPE e são seguidos por um GUID para o serviço específico que é gerado aleatoriamente na criação e cada sessão usa o mesmo pipe nomeado.

Aqui reside o problema: “Acontece que o descritor de segurança TSVIPE permite que qualquer usuário crie instâncias de servidor de pipe com o mesmo nome. Além disso, os dados são enviados pelos tubos em texto simples e sem nenhuma verificação de integridade”, disse o relatório.

Portanto, se um invasor puder se conectar ao RDP, tudo o que eles precisam fazer é criar um pipe duplicado e aguardar uma nova conexão. O RDP se conecta automaticamente ao serviço que foi criado primeiro, portanto, quando um novo usuário se conectar, o pipe malicioso existente será aquele ao qual sua máquina se conectará automaticamente. Nesse ponto, o invasor controla ambas as extremidades do canal e pode ler, ar e modificar dados entre o cliente e o host.

Nos testes, Sztejnworcel disse que sua equipe foi capaz de usar a vulnerabilidade para obter o às unidades e arquivos de uma vítima, além de seqüestrar cartões inteligentes usados ​​para para se ar por usuários e aumentar privilégios.

Quão preocupado você deve estar com seu RDP vulnerável?

Chris Clements, vice-presidente de arquitetura de soluções da empresa de segurança cibernética Cerberus Sentinel, disse que, embora a vulnerabilidade seja séria, é compensada pelo fato de que um invasor já deve ter obtido o ao serviço RDP de uma organização para iniciar o ataque.

Clements alerta que, mesmo com essa ressalva, ainda há motivos para preocupação, principalmente para organizações que possuem um sistema RDP voltado para a internet que atua como um terminal compartilhado com várias conexões simultâneas. “Um invasor capaz de obter o até mesmo a uma conta com poucos privilégios pode explorar essa vulnerabilidade para girar em toda a organização da vítima e causar danos significativos”, disse Clements.

Erich Kron, defensor da conscientização de segurança da KnowBe4, disse que a crise do COVID-19 e a mudança para o trabalho remoto deram aos maus atores muitas novas oportunidades para explorar essa vulnerabilidade que talvez não tivessem antes. Sites como o Shodan.io, que mapeia dispositivos conectados à internet em um banco de dados pesquisável, aumentam ainda mais o potencial de uso indevido, disse ele.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Vale a pena notar que o Shodan tem usos legítimos e não é um serviço gratuito. Dito isso, qualquer pessoa que realmente queira usá-lo para fins nefastos provavelmente não será impedida pela necessidade de desembolsar os US $ 59 necessários para um mês de o.

“Sempre que usar o RDP para o remoto à sua rede, e especialmente com essa vulnerabilidade ativa, as organizações devem considerar tornar os serviços RDP atuais disponíveis apenas por meio de uma VPN, removendo o o direto à Internet”, disse Kron.

A Kron também recomenda as mesmas coisas que os profissionais de segurança e os líderes de negócios ouvem há anos: habilitar a autenticação multifator, registrar todas as tentativas de conexão com falha e revisá-las regularmente e treinar os funcionários em boas práticas de senha e hábitos de segurança.